取引先への通知が必要なケース
情報漏洩が発生した場合、すべての取引先に通知が必要なわけではありません。通知の要否を判断する基準を理解しておくことが重要です。
通知が必須のケース
- 取引先の機密情報が漏洩した場合
- 契約書、見積書、技術資料、顧客リストなど、取引先から預かった機密情報が漏洩した場合は、必ず通知が必要です。漏洩の「可能性」がある段階でも、早期に連絡することが望ましいです。
- 契約上の報告義務がある場合
- 取引基本契約や秘密保持契約(NDA)に、セキュリティインシデント発生時の報告義務が規定されている場合は、契約に従って通知します。報告期限が定められている場合は、それを遵守してください。
- 取引先の業務に影響が及ぶ場合
- システム停止により納品遅延が発生する場合や、共有システムの利用停止が必要な場合など、取引先の業務に直接影響が及ぶ場合は通知が必要です。
通知を検討すべきケース
| 状況 | 通知の必要性 | 理由 |
|---|---|---|
| 漏洩の可能性があるが確定していない | 検討すべき | 後から発覚するより、早期に可能性を伝える方が信頼を損なわない |
| 風評被害が懸念される | 検討すべき | 報道やSNSで知るより、直接連絡を受ける方が心証が良い |
| 取引先の競合情報を預かっている | 検討すべき | 競合への情報漏洩は特に影響が大きい |
| 長期的な取引関係がある | 検討すべき | 信頼関係維持のため、軽微な影響でも報告が望ましい |
自社が委託先の場合の注意点
自社が業務委託を受けている立場(委託先)の場合、特に注意が必要です。
- 委託元への即時報告義務
- 委託契約には通常、セキュリティインシデント発生時の報告義務が含まれています。発見から24時間以内、または「速やかに」報告することが求められるケースが多いです。
- 契約条項の確認
- 報告期限、報告先、報告内容について契約書を確認してください。違反した場合のペナルティ(契約解除、損害賠償等)も確認しておく必要があります。
- サプライチェーン全体への影響
- サプライチェーン攻撃では、委託先の被害が委託元に波及することがあります。自社の被害だけでなく、取引先への影響も含めた報告が必要です。
通知のタイミングと優先順位
限られたリソースの中で効果的に通知を行うため、優先順位を明確にすることが重要です。
優先順位の考え方
- 最優先:機密性の高い情報を預けている取引先
- 技術情報、顧客情報、財務情報など、漏洩時の影響が大きい情報を預かっている取引先への通知を最優先とします。
- 高優先:影響が大きい主要取引先
- 取引規模が大きい、または長期的な取引関係にある主要取引先には、早期に通知します。
- 中優先:一般的な取引先
- 直接的な情報漏洩がなくても、業務影響がある取引先には順次通知します。
- 低優先:影響が限定的な取引先
- 直接的な影響がない取引先への通知は、主要な対応が落ち着いてからでも構いません。
タイミングの目安
| 段階 | タイミング | 内容 |
|---|---|---|
| 第一報 | 被害判明から24〜48時間以内 | 発生事実、影響範囲の概要、対応状況 |
| 詳細報告 | 調査進捗に応じて(1週間〜1ヶ月) | 詳細な被害範囲、原因、対策状況 |
| 最終報告 | 調査完了後 | 確定した被害範囲、原因分析、再発防止策 |
第一報は「正確性」よりも「迅速性」を優先します。「詳細は調査中ですが、現時点で判明している事実をお伝えします」という形で構いません。
通知文書の書き方とテンプレート
取引先への通知文書は、顧客向けのお詫び文とは異なるアプローチが必要です。
通知文書の構成
- 件名
- 「弊社システムへの不正アクセス発生に関するご報告」「セキュリティインシデント発生のご報告とお詫び」など、内容が明確にわかる件名にします。
- 宛先
- 契約上の窓口担当者、または経営層宛とします。重要な取引先の場合は、担当者と経営層の両方に送付することも検討します。
- 発生事実の報告
- いつ、何が起きたかを簡潔に報告します。「○月○日、弊社システムにおいてランサムウェアによる攻撃が発生しました」等。
- 取引先への影響
- 当該取引先の情報が漏洩した(可能性がある)かどうか、業務への影響があるかどうかを明確に記載します。
- 対応状況と今後の予定
- すでに実施した対策、今後の調査・対応予定を記載します。
- 取引先へのお願い事項
- パスワード変更、不審メールへの注意など、取引先に取っていただきたい対策があれば記載します。
- 問い合わせ先
- 本件に関する問い合わせ先(担当者名、連絡先)を明記します。
通知文書作成のポイント
| ポイント | 詳細 |
|---|---|
| 事実を正確に | 憶測や推測は避け、確認された事実のみを記載する |
| 取引先への影響を明確に | 「貴社情報への影響は確認されていません」「漏洩の可能性があります」等、明確に |
| 取引先が取るべきアクションを提示 | 何もする必要がないのか、対策が必要なのかを明示 |
| 今後の対応スケジュールを示す | 「○日までに詳細をご報告します」等、見通しを伝える |
| 謝罪は適切に | 過度な謝罪は不要だが、迷惑をかけたことへの謝意は示す |
電話・対面での説明ポイント
重要な取引先には、文書送付に先立って電話連絡や対面での説明を行うことが望ましいです。
電話での第一報
- 伝えるべき最低限の情報
- 「弊社でセキュリティインシデントが発生したこと」「貴社への影響の有無(または可能性)」「詳細は追って書面でご報告すること」の3点は必ず伝えます。
- 詳細は追って書面で送付する旨を伝える
- 電話では概要のみを伝え、「詳細は本日中に(または○日までに)書面でお送りします」と伝えます。電話だけで完結させようとしないでください。
- 先方の質問への対応方針
- 調査中で回答できない質問には「現在調査中のため、判明次第ご報告します」と伝えます。憶測での回答は避けてください。
対面での説明(重要取引先)
主要取引先や、特に影響が大きい取引先には、対面での説明を行うことが望ましいです。
- 経営層の同席
- 取締役や部門長クラスが説明に同席することで、組織としての重大な認識を示すことができます。
- 説明資料の準備
- 時系列での経緯、被害範囲、対応状況、再発防止策をまとめた資料を準備します。口頭だけでなく、文書として残すことで認識の齟齬を防ぎます。
- 質疑応答の想定
- 「なぜ防げなかったのか」「今後どう対策するのか」「損害賠償はあるのか」など、想定される質問への回答を準備しておきます。
取引継続に向けた対応
情報漏洩が発生しても、誠実な対応により取引関係を維持できる可能性があります。
信頼回復のためのアクション
- 再発防止策の具体的な説明
- 「今後このようなことが起きない」と言うだけでなく、具体的にどのような対策を講じるかを説明します。フィッシング詐欺対策、不正アクセス対策など、技術的・組織的な対策を示します。
- セキュリティ体制強化の報告
- 専任担当者の配置、セキュリティツールの導入、社員教育の強化など、具体的な体制強化策を報告します。
- 第三者監査の実施(必要に応じて)
- 大きな影響があった場合は、第三者機関によるセキュリティ監査を受け、その結果を共有することで信頼回復につなげます。
契約条項の確認
| 確認事項 | ポイント |
|---|---|
| 損害賠償条項 | 賠償範囲、上限額、免責条件を確認 |
| 契約解除条項 | インシデント発生が解除事由に該当するか確認 |
| 報告義務 | 報告期限、報告内容の規定を確認 |
| 秘密保持義務 | 漏洩時の責任範囲を確認 |
損害賠償請求や契約解除の可能性がある場合は、必ず弁護士と相談の上、対応方針を決定してください。
業界別の注意点
業界によって、取引先への通知に関する特有の考慮事項があります。
| 業界 | 注意点 |
|---|---|
| 製造業 | 技術情報、図面の漏洩は競合優位性に直結。産業スパイの観点からも重大 |
| 金融業 | 金融庁への報告義務、顧客の金融情報保護の観点から厳格な対応が必要 |
| 医療・介護 | 患者・利用者情報は要配慮個人情報として特に厳格な取り扱いが必要 |
| IT・システム開発 | 顧客システムへのアクセス権限を持つ場合、影響範囲が広がる可能性 |
| 小売・EC | 顧客の決済情報を預かっている場合、PCI DSSの観点からも対応が必要 |
よくある質問(FAQ)
- Q: 取引先が通知を受けて契約を解除すると言ってきた場合、どうすればよいですか?
- A: まず、契約書の解除条項を確認してください。セキュリティインシデントの発生が契約解除事由に該当するかどうか、弁護士と相談の上で判断します。契約解除が有効な場合でも、誠実な対応と再発防止策の説明により、取引継続の余地を探ることができる場合もあります。一方的に契約解除を受け入れる必要はありませんが、取引先の懸念に真摯に向き合う姿勢が重要です。
- Q: 通知前に取引先が報道で知ってしまった場合、どう対応すべきですか?
- A: 直ちに電話で連絡し、報道で知らせることになってしまったことをお詫びした上で、事実関係を説明してください。「報道より先にお知らせすべきでした」と認めた上で、現在の対応状況を説明します。その後、速やかに正式な通知文書を送付してください。
- Q: 漏洩した情報の詳細が確定していない段階で通知すべきですか?
- A: 取引先への影響が予想される場合は、詳細が確定していない段階でも第一報として通知することを推奨します。「現在調査中ですが、貴社情報に影響がある可能性があるため、取り急ぎご報告します」という形で構いません。詳細は調査完了後に追加報告すればよいです。通知を遅らせることで、取引先が自社でも対策を取る機会を逃してしまう可能性があります。
- Q: 取引先から損害賠償を請求された場合、どう対応すべきですか?
- A: まず、請求内容と根拠を確認し、弁護士に相談してください。契約上の損害賠償条項(上限額、免責条件等)を確認し、適切な対応方針を決定します。請求が正当な範囲であれば誠実に対応することが、長期的な信頼関係維持につながります。一方、過大な請求や根拠のない請求に対しては、適切に反論することも必要です。
- Q: 自社が委託先で、委託元に報告した結果、委託元の顧客への通知を求められた場合はどうすればよいですか?
- A: 委託元の指示に従うのが原則です。ただし、通知の主体(委託元名義か自社名義か)、通知内容、タイミングについては委託元と協議の上で決定してください。自社が直接通知する場合の文案は、委託元の確認を得てから送付することをお勧めします。
関連記事
- ランサムウェアとは?仕組み・感染経路・対策を徹底解説
- ランサムウェア感染時の対応手順|初動から復旧まで
- 情報漏洩発生時のお詫び文・プレスリリース例文集
- ランサムウェアと法的責任|報告義務・損害賠償・身代金の法的論点
- サプライチェーン経由のランサムウェア攻撃
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
